Ir para o conteúdo

Como ocorrem os ataques de Engenharia Social e quem são os alvos

5 min. de leitura

Avatar de Salvador Santos Moraes Junior

Salvador Santos Moraes Junior Autoria do conteúdo


Existem inúmeras maneiras e tipos de ataques nocivos que ocorrem em sites, aplicativos e empresas, colocando em risco a segurança da informação. Hoje em dia, cada vez vemos mais e mais dessas notícias. Vou falar sobre uma delas neste artigo – a Engenharia Social.

Ilustração de um computador de mesa em que a tela tem a imagem de uma caveira, dando a impressão de estar hackeado. Atrás, um grupo de quatro pessoas, sendo duas pessoas brancas em pé, um rapaz negro sentado segurando uma xícara e uma moça negra com um notebook, em um escritório, conversando sobre o que está no notebook.

O que é um ataque de Engenharia Social?

A Engenharia Social é um método de intrusão no qual é utilizado o meio humano para chegar ao objetivo, seja ele qual for. A intenção pode ser invadir um servidor, derrubar um site, ou até mesmo deixar uma mensagem para a empresa ou para a sociedade. Para isso, o atacante poderá (e irá) usar qualquer tipo de persuasão.

Ilustração de um pen drive vermelho com o símbolo branco de uma caveira, sendo pegado do chão por uma mão branca.

Como a Engenharia Social é aplicada?

O atacante irá buscar um meio de conseguir o quer por artifícios físicos  – podendo ser o acesso a um prédio, um e-mail… Qualquer coisa que o ajude a hackear o seu alvo. Quando o atacante chegar fisicamente ao seu alvo, poderá se passar por qualquer pessoa e é nesse momento que o rastreio se tornará mais difícil.

A atuação ainda pode ser um pen drive qualquer, deixado em um local estratégico. Quando for conectado na entrada USB do computador, ativará seus protocolos e fará ações para que passe imperceptível à rede, deixando um software para uma futura comunicação (entre atacante e alvo). 

Uma simples entrega de um mouse também pode ser um risco. Ele chega em nome da área de infraestrutura da empresa em que você atua mas, na verdade, tem a mesma intenção do pen drive acima citado. Aqui, entra a questão de que a pessoa que faz a entrega talvez nem saiba que aquele item está comprometido, que foi alterado fisicamente para conseguir realizar a tarefa de conectar-se à rede do seu local de trabalho.

Ilustração de um polvo laranja usando headset e “digitando” em um notebook em um ambiente de escritório, com uma janela e um relógio ao fundo.

Quem ataca usuários dessa forma?

As pessoas diretamente envolvidas têm um grande conhecimento de, como dizer… “trato pessoal”. O seu objetivo é tirar o máximo de informações, como nome de usuário, dados sensíveis e, até mesmo, a senha.

Assim, o indivíduo mal-intencionado poderá se passar por um fornecedor, um cliente ou até mesmo um colega de trabalho. Sim, inúmeras vezes o acesso a máquinas, pen drives, crachás de acessos, senhas de rede e outros vem de pessoas com esse tipo de ataque. Até mesmo o simples fato de clicar em um link enviado por um operador que diz ser da infraestrutura poderá dar brecha para um problema como este.


Alvos

Todos podem ser alvos de ataques de Engenharia Social. Empresas sofrem tentativas todos os dias e não é incomum que tenham seus dados criptografados ou então publicados/disponibilizados na internet — inclusive informações de seus colaboradores e clientes. Um caso que acompanhamos recentemente foi o das Lojas Renner, em que um ataque de Ransomware praticamente parou a empresa. 

Ransomware é um tipo de software programado para fazer mal a um computador ou uma rede de computadores, restringindo o acesso ao sistema infectado com uma espécie de bloqueio. Dessa forma, os atacantes cobram um resgate para devolver o acesso. Vamos falar mais de Ransomware em um próximo artigo! ?


Casos famosos de Engenharia Social

A seguir, vou compartilhar alguns casos em que essa técnica foi muito forte. São situações que utilizaram as pessoas de diversas maneiras, induzindo-as a erros e ações que poderiam ter sido evitadas.

Ilustração de um homem usando máscara com outra face sorrindo, de terno, em um escritório, com um documento na mão. Atrás dele, há uma janela e mesas com monitores.

The Corcoran Group

Vítima: Barbara Corcoran – participante do programa Shark Tank

Tipo: Engenharia Social e Phishing

Ano: 2020

Valor: US$ 388.700

O cibercriminoso utilizou um e-mail praticamente igual ao do assistente de Barbara para enviar uma mensagem ao seu contador, aprovando um investimento para projetar as unidades de apartamentos alemães nas quais ele disse que Corcoran queria investir. Como o ramo dela é esse, imobiliário, o contador não teve dúvidas: fez a operação e transferiu o dinheiro do suposto investimento. Afinal, quando bateu o olho no e-mail, pensou que era do assistente dela. Só perceberam depois, quando o contador já tinha realizado a operação bancária e enviou o comprovante copiando, agora sim no correto e-mail, o assistente de Barbara.

Toyota

Tipo: Engenharia Social, Phishing e BEC (Business E-mail Compromise)

Ano: 2019

Valor: US$ 37 milhões

Este ataque utilizou instruções de pagamento fraudulentas de terceiros maliciosos. Ou seja, os atacantes utilizaram a persuasão e convenceram um executivo do departamento financeiro a alterar as informações da conta bancária em uma transferência de fundos. Não se sabe muito mais do caso, pois a empresa não deu detalhes. Não está claro se foi usado um e-mail hackeado ou se simplesmente se passaram por alguém.

Condado de Cabarrus

Tipo: Engenharia Social e BEC (Business E-mail Compromise)

Ano: 2018

Valor: US$ 1,7 milhão

Os atacantes utilizaram alguns e-mails maliciosos para se passarem por fornecedores e, através deles, solicitaram pagamentos em novas contas bancárias, sempre apresentando documentos que pareciam legítimos. Assim que o dinheiro era transferido para essa conta, era desviado para outras tantas.


Como se defender

Aqui em nosso Hub de Conteúdo temos dois artigos muitos bons sobre como evitar problemas como esses. ? Confira a seguir!

Três dicas para não cair em ataques de Engenharia Social

Falamos sobre confirmação de dados, contato oficial da empresa e links por SMS neste conteúdo, que também está disponível em vídeo.

Como identificar e prevenir ataques de Engenharia Social?

Este artigo apresenta os vetores mais comuns, os meios para identificar este tipo de ataque e formas de prevenir que os crackers tenham sucesso.


Ataques de Engenharia Social podem ser evitados

O que vimos é que as pessoas são induzidas de alguma maneira a fazer ações que poderiam ser evitadas se elas fossem instruídas sobre isso. Geralmente, as informações que precisavam para que pudessem manter a segurança da informação são fornecidas apenas após o ataque, e isso deve mudar.

Devemos sempre estar lembrando, olhando e pensando sobre essas questões. Espero ter ajudado e esclarecido algumas dúvidas, pois nessa trama toda os elos mais fracos são as pessoas que não são instruídas para detectar esse tipo de ataque. E, como sabem, “a corrente é tão forte quanto seu elo mais fraco”.

Para saber mais sobre Segurança da Informação, confira outros artigos sobre o tema no Hub de Conteúdo!


Imagens: Kaspersky Daily

Gostou?